Как хранить и управлять ssl-сертификатами?

Question

[antirek]

Какие-то решения для управления ssl-ключами? Хранить надежно приватные ключи, пароли, обновлять из этого репо ключи по дате, на разных серверах?
Когда у тебя несколько десятков доменов и поддоменов, как-то надо управляться вовремя со всем этим добром, нужна утилита автоматизации)) Кто как справляется?

Answer 1

[Александр Аксентьев]

Let's Encrypt достаточно удобен, после одноразовой настройки вообще не надо больше трогать его. В крон только добавить.

Недавно как раз все сертификаты закончились.
CloudFlare в основном стоит, но это даёт определенные неудобства.
В итоге решил все-таки проверить Let's Enrypt, очень пожалел что не использовал его раньше :)

Comments

[Erelecano Oioraen]

Рекомендую использовать не родной certbot, а более удобный https://github.com/hlandau/acme

[Александр Аксентьев]

Erelecano Oioraen: родного хватило за глаза, даже не знаю что там еще может понадобиться :)

[Erelecano Oioraen]

Александр Аксентьев: acme еще и сам в крон прописывается при первоначальной настройке(ну то есть предлагает это сделать), плюс имеет из коробки 5 вариантов подтверждения домена, с webroot, с proxy, со standalone и что-то там еще. Я отказался от certbot в его пользу и чертовски доволен.
А так вы правы, что после перехода на LE просто забываешь о необходимости обновлять сертификаты, ибо один раз настроенное оно дальше работает, как часы, обновляется само и все прекрасно.

[antirek]

Erelecano Oioraen: спасибо за acme ))

[Erelecano Oioraen]

antirek: это автору спасибо, а я так, мимо шел :)
Я просто просмотривал на сайте LE все, что есть из софта с ними работающего и выбирал лично для себя самый удобный инструмент. Выбрав его всем советую, потому как убежден, что выбрал лучше. Рад что тоже понравилось.

Answer 2

[Кот Абсолютный]

Я не доверяю никакой автоматизации. Сертификаты слишком ответственная вещь, чтобы отдавать ее кому-то, тем более каким-то бесплатным серверам с какими-то скриптами. У нас почта шифруется сертификатами, поэтому обновление сертификатов на сотню пользователей - рутинная работа. Календарь, в котором прописана дата истечения срока годности, набор скриптов для генерации сертификатов, список паролей и флэшка, с которой хожу по рабочим местам. CA поднят на винде, это доставляет определенные неудобства, все хочу вынести юзерские сертификаты в подчиненный СА на линухе, где выдача сертификата делается одним скриптом.